我的一台伺服器不斷受到 UDP DDOS 攻擊。 ~500Mb/s 和 700k PPS。我有 10Gbit 下行鏈路,所以這不是瓶頸。
在我的 IPTABLES 中,我透過 ipset 創建了一個“白名單”,並丟棄了嘗試到達我的遊戲伺服器的所有其他流量。
ipset 集包含約 2000 個 IP 位址和 10 個 CIDR 行。套裝類型:netash
桌子:生的
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 match-set allowip src
DROP udp -- 0.0.0.0/0 135.x.x.x udp dpt:30120
這效果很好直到攻擊的 PPS 開始增加。
雖然伺服器仍然正常運作並且沒有滯後,但 IPTABLES 似乎很難在攻擊期間處理如此高的封包數量中的白名單 IP。 50% 的玩家在遊戲中遇到連線問題,即使他們的 IP 已列入 allowedip ipset 清單中的白名單。 CPU 使用率也沒有高得離譜。
這是 iptables 中最大 PPS 的某種限制嗎?或者我可以做點什麼來加快速度嗎?
謝謝!